Plataforma
nodejs
Componente
fuxa-server
Corregido en
1.2.9
1.2.11
La vulnerabilidad CVE-2026-25938 es una falla de ejecución remota de código (RCE) presente en fuxa-server. Esta falla permite a un atacante remoto, sin necesidad de autenticación, ejecutar código arbitrario en el servidor. El problema afecta a las versiones 1.2.8 hasta la 1.2.10 de fuxa-server y ha sido resuelto en la versión 1.2.11.
La gravedad de esta vulnerabilidad radica en la facilidad con la que un atacante puede comprometer el servidor. Al aprovechar esta falla, un atacante puede obtener control total sobre el sistema, incluyendo la capacidad de instalar malware, robar datos confidenciales, o incluso utilizar el servidor como punto de partida para ataques a otros sistemas en la red. La vulnerabilidad se explota enviando una solicitud especialmente diseñada al endpoint /nodered/flows, lo que permite eludir los controles de autenticación. La configuración runtime.settings.secureEnabled no previene esta explotación, lo que amplía el alcance del riesgo.
La vulnerabilidad CVE-2026-25938 fue publicada el 10 de febrero de 2026. Actualmente no se dispone de información sobre explotación activa en la naturaleza, pero la facilidad de explotación y la gravedad de la vulnerabilidad la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa relacionada con esta vulnerabilidad.
Organizations utilizing fuxa-server with the Node-RED plugin enabled are at risk, particularly those with exposed instances or those lacking robust network segmentation. Shared hosting environments where multiple users share the same fuxa-server instance are also at increased risk, as a compromise of one user's environment could potentially lead to the compromise of others.
• nodejs / server:
ps aux | grep fuxa-server• nodejs / server:
journalctl -u fuxa-server -f | grep "/nodered/flows"• generic web:
curl -I <fuxa_server_ip>/nodered/flows• generic web:
Inspect access logs for requests to /nodered/flows originating from unexpected IP addresses.
disclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
La mitigación principal para CVE-2026-25938 es actualizar fuxa-server a la versión 1.2.11 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, deshabilitar el plugin Node-RED es una medida temporal para reducir el riesgo. Si no es posible deshabilitar el plugin, se recomienda revisar y endurecer las configuraciones de seguridad del servidor, incluyendo la implementación de reglas de firewall que restrinjan el acceso al endpoint /nodered/flows solo a fuentes confiables. Monitorear los logs del servidor en busca de patrones de tráfico inusuales o intentos de acceso no autorizados también puede ayudar a detectar y prevenir ataques.
Actualice FUXA a la versión 1.2.11 o superior. Esta versión contiene la corrección para la vulnerabilidad de ejecución remota de código. La actualización se puede realizar a través del panel de administración de FUXA o descargando la última versión desde el sitio web del proveedor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25938 is a critical Remote Code Execution vulnerability in fuxa-server versions 1.2.8 through 1.2.10, allowing unauthenticated attackers to execute code.
You are affected if you are running fuxa-server version 1.2.8, 1.2.9, or 1.2.10 and have the Node-RED plugin enabled.
Upgrade fuxa-server to version 1.2.11 or later. As a temporary workaround, disable the Node-RED plugin.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for exploitation.
Refer to the official fuxa-server security advisories on their website or GitHub repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.